Portail
Forum
Devolutions Force
Hub Business
Hub Personal
Devolutions Send
RDM
Workspace
Launcher
Pour bien des pirates, le mot d’ordre ces jours-ci n’est plus « la fortune sourit aux audacieux », mais plutôt « dans les petits pots, les meilleurs onguents ». En effet, les cybercriminels se désintéressent de plus en plus des grandes organisations pour s’attaquer aux petites et moyennes entreprises (PME).
Nous détaillons ci-dessous cinq raisons qui expliquent pourquoi les pirates considèrent les PME comme des cibles attirantes et lucratives :
1. Les PME sont typiquement plus faciles à pirater que les grandes entreprises.
De nombreuses PME n'effectuent que rarement (ou jamais) d’audits de sécurité informatique complets. En conséquence, elles sont bercées par un faux sentiment de sécurité facilement exploitable par les pirates qui, bien souvent, sont en mesure de s’incruster profondément dans certains serveurs et d’y rester tapi pendant longtemps. Ces périodes ne se comptent pas en jours ou même en semaines, mais bien en mois, voire en années. Il faut garder en tête qu’il faut en moyenne 287 jours pour détecter une brèche, puis 80 pour la contenir.
Qui plus est, le tout nouveau Sondage de Devolutions sur le Portrait de la sécurité informatique dans les PME de 2022-2023 a révélé que la majorité des PME ne sont pas suffisamment préparées à l’éventualité d’une cyberattaque. Par exemple :
- 88 % des PME n’ont pas d'une solution PAM complètement déployée.
- 44 % des PME ne disposent pas d’un plan d’intervention en cas de cyberincidents complet et moderne.
- 35 % des PME n’évaluent pas les résultats de leurs programmes de formation en sécurité informatique.
2. Il est très lucratif de pirater des PME.
Les films à succès hollywoodiens nous laissent croire que les pirates informatiques passent tout leur temps à harceler des entreprises multinationales et des organismes gouvernementaux. La réalité est cependant bien moins excitante : la plupart des pirates sont parfaitement contents de s’en prendre aux PME. Ils ne cherchent pas à faire la une des journaux. Ce qui les intéresse, c’est l’usurpation d’identifiants et le vol de données, soit pour s’en servir eux-mêmes, soit pour les revendre sur le Web clandestin.
De combien d’argent parle-t-on au juste? De bien plus que la plupart des gens osent imaginer! Les cybercriminels moyennement expérimentés peuvent facilement gagner jusqu’à 900 000 $ US par année. C’est d’autant plus inquiétant qu’ils n’ont pas besoin de technologies ultrasophistiquées pour y arriver. Un simple courriel d’hameçonnage peut justifier une demande de rançon dans les six chiffres. Avec un rendement pareil, il n’est plus nécessaire de chercher une motivation particulière qui pousserait les pirates à s’attaquer aux PME.
3. Les PME comme outil didactique pour les pirates.
Les cybercriminels s’en prennent souvent à des PME vulnérables pour mieux comprendre les mécanismes qui leur permettront plus tard de s’attaquer à de grandes entreprises mieux défendues. Par exemple, la firme de cybersécurité BlueVoyant a fait l’analyse de centaines d’entreprises qui se spécialisent dans la protection des PME. Elle a découvert que les réseaux de la moitié de ces entreprises présentaient des vulnérabilités colossales. Qu’il s’agisse de ports non sécurisés, de logiciels non pris en charge ou encore de correctifs manquants, ces PME étaient très vulnérables aux cyberattaques.
4. Beaucoup de PME n’ont pas le choix de payer à la suite d’une attaque par rançongiciel.
Le nouveau Sondage de Devolutions sur le Portrait de la sécurité informatique dans les PME de 2022-2023 a révélé que les rançongiciels constituaient la menace la plus préoccupante pour les PME. Cette crainte n’est pas sans fondements, car les attaques par rançongiciel se sont multipliées depuis quelques années, de même que le coût des rançons, qui avoisine maintenant 170 704 $ US par incident.
Évidemment, aucune entreprise, peu importe sa taille, ne se laisse extorquer de la sorte par des cybercriminels sans broncher. À la suite d’une demande de rançon, certaines grandes organisations disposant de fonds et de ressources substantiels peuvent passer temporairement en mode hors ligne. Cette méthode est certes coûteuse, mais elle leur donne le temps de récupérer leurs données. Après moult calculs et réflexions, il arrive donc que la direction décide de ne pas payer la rançon.
Or, la plupart des PME ne peuvent pas se payer un tel luxe. Le concept même de se retirer du Web pendant quelques heures, voire quelques jours, est impensable pour elles. Et puisque la plupart des PME n’ont pas d’experts en sécurité des TI pour les guider à travers cette rude épreuve, elles se résignent à payer, se disant qu’elles ont ainsi choisi le moindre de deux maux. Malheureusement, c’est précisément le pari que prennent les pirates.
5. Les PME sont particulièrement vulnérables aux escroqueries par faux ordre de virement.
Dans les grandes entreprises, l’employé moyen ne reçoit jamais de courriels de la part du président (sauf s’il s’agit d’un courriel générique adressé à un groupe ou à l’entièreté de l’entreprise). Dans une PME, par contre, il n’est pas rare de recevoir un courriel du président à propos de certaines tâches à mener ou priorités à déterminer.
Les pirates exploitent volontiers cette pratique routinière pour commettre des « escroqueries par faux ordre de virement ». Pour ce faire, les arnaqueurs envoient d’abord un court message à un employé de la part du président (ou de n’importe quel autre cadre, tels qu’un directeur financier ou un vice-président), pour lui demander des informations concernant un paiement sortant. Voici un exemple réel de cette fraude qui a été publié par la firme de cybersécurité Trustwave (les noms ont été changés) :
De : Guillaume Tremblay
Envoyé le : 13 novembre 2017 à 11 h 27
À : Susanne Gagnon
Objet : UrgenceÊtes-vous disponible pour effectuer un paiement international ce matin?
J’en ai un en attente. Dites-moi quand envoyer les coordonnées bancaires.
Dans cette affaire, la victime a rapidement répondu au courriel du (faux) président. S’en est suivi une brève correspondance au terme de laquelle 32 000 $ US ont été versés à l’arnaqueur. Une fois la fraude détectée, le pirate s’était fait la malle avec son magot.
En conclusion
Les PME qui se croient trop insignifiantes pour être dans la mire des pirates doivent se remettre en question. Comme le souligne l’expert-conseil et contributeur au magazine Forbes Rhett Power : « De nombreux entrepreneurs, fondateurs de jeunes pousses et propriétaires de petites entreprises se considèrent comme du petit gibier par rapport aux mastodontes que sont les Fortune 500. Ils supposent qu’ils sont trop petits pour attirer l’attention des pirates et des cybercriminels. Mais les acteurs malveillants voient les choses d’un autre œil. ».
Il existe effectivement une infime chance qu’une PME puisse passer entre les mailles du filet et ainsi éviter de se faire couler par des rançongiciels, des maliciels, des réseaux zombies, des espiogiciels (et la liste des cybermenaces est encore longue). Gardons également à l’esprit les risques que posent les utilisateurs malveillants ou négligents à l’interne.
Sachez cependant que l'insouciance de certaines PME risque tôt ou tard de leur causer des problèmes de sécurité. Lorsque ceux-ci surviendront, les dégâts pourraient s’avérer importants, voire dévastateurs. Il faut savoir que le coût moyen d’une brèche de données a atteint les 4,24 M$ US par incident, le chiffre le plus haut jamais enregistré. De plus, les occasions d’affaires perdues constituent 38 % des coûts relatifs aux brèches de données.
La marche à suivre
Heureusement, tout n’est pas noir et terrifiant. Les PME peuvent grandement réduire la taille et la vulnérabilité de leur surface d’attaque en renforçant activement leur posture de sécurité informatique dans les quatre grandes catégories suivantes : la gestion de mots de passe; la gestion des accès privilégiés (PAM); la gestion des accès à distance et la formation aux utilisateurs finaux.
Nous nous penchons sur ces aspects dans le rapport du Sondage de Devolutions sur le Portrait de la sécurité informatique dans les PME de 2022-2023, qui sera disponible dans les prochaines semaines (nous ajouterons un lien vers ce dernier dès sa sortie).
En attendant, nous incitons les PME à consulter Le guide de cybersécurité Devolutions, un véritable trésor d’informations sur la cybersécurité soigneusement assemblé sur notre blogue. Les sujets abordés incluent la gestion de mots de passe, la formation aux utilisateurs finaux, les arnaques en ligne (telles que les escroqueries par faux ordre de virement), et plus encore. Cliquez ici pour consulter notre guide et vous protéger contre les pirates avant qu’ils n’aient le temps de causer trop de dégâts.
